¿Qué son los ataques DDoS y cómo protegerse de ellos?

Desafortunadamente, los ataques de denegación de servicio distribuida (DDoS) son más comunes de lo que nos gustaría. Es por eso que las organizaciones necesitan protegerse activamente contra ellas y otras amenazas también. Y aunque estos tipos de ataques pueden ser desagradables y tener un gran impacto en sus sistemas, también son relativamente fáciles de detectar.

En esta publicación, analizaremos las formas en que puede proteger sus activos contra ataques DDoS y revisaremos algunos productos que pueden ayudarlo con eso.

Comenzaremos describiendo qué son los ataques DDoS. Como está a punto de descubrir, su principio de operación es tan simple como su impacto potencial es alto. También exploraremos cómo estos ataques a menudo se clasifican y cómo los diferentes tipos de ataques realmente difieren. A continuación, discutiremos cómo protegerse contra los ataques DDoS. Veremos cómo las redes de distribución de contenido pueden mantener a los atacantes alejados de sus servidores y cómo los equilibradores de carga pueden detectar un ataque y alejar a los atacantes. Pero para esos ataques raros que logran llegar a sus servidores, necesita protección local. Aquí es donde

Sistemas de información de seguridad y gestión de eventos (SIEM) puede ayudar, por lo que nuestro próximo orden del día será revisar algunos de los mejores sistemas SIEM que podamos encontrar.

Sobre DDoS

Un ataque de denegación de servicio (DoS) es un intento malicioso de afectar la disponibilidad de un sistema específico, como un sitio web o una aplicación, a sus usuarios finales legítimos. Por lo general, los atacantes generan grandes volúmenes de paquetes o solicitudes que finalmente abruman al sistema de destino. Un ataque de denegación de servicio distribuido (DDoS) es un tipo específico de ataque DoS en el que el atacante utiliza múltiples fuentes comprometidas o controladas para generar el ataque. Los ataques DDoS a menudo se clasifican según la capa del modelo OSI que atacan, y la mayoría de los ataques ocurren en la capa de red (capa 3), el transporte (capa 4), la presentación (capa 6) y la capa de aplicación (capa 7).

Los ataques en las capas inferiores (como 3 y 4) generalmente se clasifican como ataques de capa de infraestructura. Son, con mucho, el tipo más común de ataque DDoS e incluyen vectores como inundaciones SYN y otros ataques de reflexión como inundaciones UDP. Estos ataques suelen ser de gran volumen y su objetivo es sobrecargar la capacidad de la red o los servidores de aplicaciones. Lo bueno (por mucho que haya algo bueno en ser atacado) es que son un tipo de ataque que tiene firmas claras y son más fáciles de detectar.

En cuanto a los ataques en las capas 6 y 7, a menudo se clasifican como ataques de la capa de aplicación. Aunque estos ataques son menos frecuentes, también tienden a ser más sofisticados. Estos ataques son típicamente de pequeño volumen en comparación con los ataques de la capa de infraestructura, pero tienden a centrarse en partes costosas particulares de la aplicación. Los ejemplos de este tipo de ataques incluyen una avalancha de solicitudes HTTP a una página de inicio de sesión o una API de búsqueda costosa, o incluso inundaciones XML-RPC de WordPress, que también se conocen como ataques de pingback de WordPress.

DEBE LEER: 7 mejores sistemas de prevención de intrusiones (IPS)

Protección contra ataques DDoS

Para protegerse eficazmente contra un ataque DDoS, el tiempo es esencial. Este es un tipo de ataque en tiempo real, por lo que requiere una respuesta en tiempo real. O lo hace? De hecho, una forma de protegerse contra los ataques DDoS es enviar a los atacantes a otro lugar que no sean sus servidores.

Una forma de lograrlo es mediante la distribución de su sitio web a través de algún tipo de red de distribución de contenido (CDN). Usando un CDN, los usuarios de su sitio web (tanto los legítimos como los posibles atacantes) nunca llegan a sus servidores web, sino a los de CDN, protegiendo así sus servidores y asegurando que cualquier ataque DDoS solo afecte a un subconjunto relativamente pequeño de su clientela.

Otra forma de evitar que los ataques DDoS lleguen a sus servidores es mediante el uso de equilibradores de carga. Los equilibradores de carga son dispositivos que generalmente se utilizan para dirigir las conexiones entrantes del servidor a varios servidores. La razón principal por la que se utilizan es para proporcionar capacidad adicional. Supongamos que un solo servidor puede manejar hasta 500 conexiones por minuto, pero su negocio ha crecido y ahora tiene 700 conexiones por minuto. Puede agregar un segundo servidor con un equilibrador de carga y las conexiones entrantes se equilibrarán automáticamente entre los dos servidores. Pero los equilibradores de carga más avanzados también tienen características de seguridad eso puede, por ejemplo, reconocer los síntomas de un ataque DDoS y enviar la solicitud a un servidor ficticio en lugar de sobrecargar sus servidores. Si bien la eficiencia de tales tecnologías varía, constituyen una buena primera línea de defensa.

Información de seguridad y gestión de eventos al rescate

Los sistemas de información de seguridad y gestión de eventos (SIEM) son una de las mejores formas de protección contra ataques DDoS. Su forma de operar permite detectar casi cualquier tipo de actividad sospechosa y sus procesos de reparación típicos pueden ayudar a detener los ataques en seco. SIEM es a menudo la última línea de defensa contra los ataques DDoS. Atraparán cualquier ataque que realmente llegue a sus sistemas, aquellos que han logrado evitar otros medios de protección.

Los elementos principales de SIEM

Estamos a punto de explorar con mayor detalle cada componente principal de un sistema SIEM. No todos los sistemas SIEM incluyen todos estos componentes e, incluso cuando lo hacen, podrían tener diferentes funcionalidades. Sin embargo, son los componentes más básicos que normalmente se encuentran, de una forma u otra, en cualquier sistema SIEM.

Log Collection and Management

Recogida y gestión de registros. es el componente principal de todos los sistemas SIEM. Sin ella, no hay SIEM. El sistema SIEM tiene que adquirir datos de registro de una variedad de fuentes diferentes. Puede tirar de él o diferentes sistemas de detección y protección pueden llevarlo al SIEM. Como cada sistema tiene su propia forma de categorizar y registrar datos, corresponde al SIEM normalizar los datos y hacerlos uniformes, sin importar cuál sea su fuente.

Después de la normalización, los datos registrados a menudo se compararán con los patrones de ataque conocidos en un intento de reconocer el comportamiento malicioso lo antes posible. Los datos también se compararán a menudo con los datos recopilados previamente para ayudar a construir una línea de base que mejorará aún más la detección de actividad anormal.

LEA TAMBIÉN:Los mejores servicios de registro en la nube probados y revisados

Respuesta al evento

Una vez que se detecta un evento, se debe hacer algo al respecto. De esto se trata el módulo de respuesta a eventos para el sistema SIEM. La respuesta al evento puede tomar diferentes formas. En su implementación más básica, se generará un mensaje de alerta en la consola del sistema. A menudo, también se pueden generar alertas por correo electrónico o SMS.

Pero los mejores sistemas SIEM van un paso más allá y a menudo iniciarán algún proceso de recuperación. Nuevamente, esto es algo que puede tomar muchas formas. Los mejores sistemas tienen un sistema de flujo de trabajo de respuesta a incidentes completo que se puede personalizar para proporcionar exactamente la respuesta que desea. Y como era de esperar, la respuesta a incidentes no tiene que ser uniforme y diferentes eventos pueden desencadenar diferentes procesos. Los mejores sistemas le darán un control completo sobre el flujo de trabajo de respuesta a incidentes. Tenga en cuenta que al buscar protección contra eventos en tiempo real, como ataques DDoS, la respuesta a eventos es probablemente la característica más importante.

Tablero

Una vez que tenga el sistema de recopilación y gestión de registros y los sistemas de respuesta en su lugar, el siguiente módulo importante es el panel de control. Después de todo, será su ventana al estado de su sistema SIEM y, por extensión, al estado de su seguridad de la red. Son un componente tan importante que muchas herramientas ofrecen múltiples paneles. Debido a que diferentes personas tienen diferentes prioridades e intereses, el tablero perfecto para un administrador de red será diferente de la de un administrador de seguridad, y un ejecutivo necesitará uno completamente diferente como bien.

Si bien no podemos evaluar un sistema SIEM por la cantidad de paneles que tiene, debe elegir uno que tenga los paneles que necesita. Definitivamente es algo que debe tener en cuenta al evaluar a los proveedores. Muchos de los mejores sistemas le permitirán adaptar paneles integrados o paneles personalizados a su gusto.

Informes

El siguiente elemento importante de un sistema SIEM es la presentación de informes. Es posible que aún no lo sepa, y no lo ayudarán a prevenir o detener los ataques DDoS, pero eventualmente necesitará informes. La alta gerencia necesitará que vean por sí mismos que su inversión en un sistema SIEM está dando sus frutos. También es posible que necesite informes para fines de conformidad. El cumplimiento de estándares como PCI DSS, HIPAA o SOX puede facilitarse cuando su sistema SIEM puede generar informes de conformidad.

Si bien los informes pueden no estar en el centro de un sistema SIEM, siguen siendo componentes esenciales. Y a menudo, la presentación de informes será un factor diferenciador importante entre los sistemas competidores. Los informes son como dulces, nunca puedes tener demasiados. Y, por supuesto, los mejores sistemas le permitirán adaptar informes existentes o crear informes personalizados.

Las mejores herramientas para protegerse contra los ataques DDoS

Aunque existen varios tipos de herramientas que pueden ayudar a proteger contra los ataques DDoS, ninguna proporciona el mismo nivel de protección directa que la información de seguridad y las herramientas de administración de eventos. Esto es lo que todas las herramientas de nuestra lista son en realidad herramientas SIEM. Cualquiera de las herramientas en nuestra lista proporcionará cierto grado de protección contra muchos tipos diferentes de amenazas, incluido DDoS. Enumeramos las herramientas en orden de preferencia personal pero, a pesar de su orden, las seis son sistemas excelentes que solo podemos recomendarle que los pruebe por usted mismo y vea cómo se adaptan a su medio ambiente.

Es posible que hayas oído hablar de Vientos solares antes de. El nombre es conocido por la mayoría de los administradores de red y con razón. El producto estrella de la compañía, el Monitor de rendimiento de red es una de las mejores herramientas de monitoreo de ancho de banda de red disponibles. Pero eso no es todo, la compañía también es famosa por sus numerosas herramientas gratuitas como Avanzado Calculadora de subred o su Servidor SFTP.

Vientos solares tiene herramientas para casi todas las tareas de administración de red y eso incluye SIEM. Aunque el Vientos solares Seguridad Administrador de evento (también llamado SEM) se describe mejor como un sistema SIEM de nivel de entrada, es probable que sea uno de los sistemas SIEM de nivel de entrada más competitivos del mercado. los Vientos solares SEM tiene todo lo que espera de un sistema SIEM. Tiene excelente gestión de registros y funciones de correlación, un excelente tablero y un motor de informes impresionante.

• PRUEBA GRATIS: Administrador de eventos de seguridad de SolarWinds
• Enlace de descarga oficial: https://www.solarwinds.com/security-event-manager/registration

los Vientos solares Administrador de eventos de seguridad lo alertará sobre los comportamientos más sospechosos, lo que le permitirá concentrar más tiempo y recursos en otros proyectos críticos. La herramienta tiene cientos de reglas de correlación integradas para vigilar su red y juntar datos de las diversas fuentes de registro para identificar posibles amenazas en tiempo real. Y no solo obtiene reglas de correlación listas para usar para ayudarlo a comenzar, la normalización de los datos de registro permite crear una combinación interminable de reglas. Además, la plataforma tiene una fuente de inteligencia de amenazas incorporada que funciona para identificar comportamientos que se originan de los malos actores conocidos.

El daño potencial causado por un ataque DDoS a menudo está determinado por la rapidez con la que identifica la amenaza y comienza a abordarla. los Vientos solares Administrador de eventos de seguridad puede acelerar su respuesta al automatizarlos siempre que se activen ciertas reglas de correlación. Las respuestas pueden incluir el bloqueo de direcciones IP, el cambio de privilegios, la desactivación de cuentas, el bloqueo de dispositivos USB, la eliminación de aplicaciones y más. El avanzado sistema de respuesta en tiempo real de la herramienta reaccionará activamente ante cada amenaza. Y dado que se basa en el comportamiento más que en la firma, está protegido contra amenazas desconocidas o futuras. Esta característica por sí sola la convierte en una gran herramienta para la protección DDoS.

los Vientos solares Administrador de eventos de seguridad tiene licencia por la cantidad de nodos que envían información de registro y eventos. En ese contexto, un nodo es cualquier dispositivo (servidor, dispositivo de red, computadora de escritorio, computadora portátil, etc.) del que se recopilan datos de registro y / o eventos. El precio comienza en $ 4 665 para 30 dispositivos, incluido el primer año de mantenimiento. Hay otros niveles de licencia disponibles para hasta 2 500 dispositivos. Si desea probar el producto antes de comprarlo, un versión de prueba gratuita de 30 días completamente funcional está disponible para descargar.

2. RSA NetWitness

Desde 2016 NetWitness se ha centrado en productos que soportan "conocimiento profundo de la situación de la red en tiempo real y respuesta ágil de la red" La historia de la empresa es un poco compleja: después de ser adquirida por EMC que luego se fusionó con Dell, la NebraskatWitness el negocio ahora es parte de RSA rama de Dell, que es una gran noticia como RSA goza de una sólida reputación en seguridad de TI.

RSA NetWitness es un gran producto para organizaciones que buscan una solución de análisis de red completa. La herramienta incorpora información sobre su negocio que ayuda a priorizar las alertas. De acuerdo a RSA, el sistema "recopila datos en más puntos de captura, plataformas informáticas y fuentes de inteligencia de amenazas que otras soluciones SIEM”. También hay una detección avanzada de amenazas que combina análisis de comportamiento, técnicas de ciencia de datos e inteligencia de amenazas. Y finalmente, el sistema de respuesta avanzado cuenta con capacidades de orquestación y automatización para ayudar a deshacerse de las amenazas antes de que afecten a su negocio.

Uno de los principales inconvenientes de RSA NetWitness es que no es el producto más fácil de usar y configurar. Sin embargo, hay mucha documentación completa disponible que puede ayudarlo con la configuración y el uso del producto. Este es otro producto de grado empresarial y deberá contactar RSA ventas para obtener información detallada sobre precios.

3. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager ayuda a identificar y priorizar las amenazas de seguridad, organizar y rastrear las actividades de respuesta a incidentes, y simplificar las actividades de auditoría y cumplimiento. Este es otro producto con una historia algo complicada. Anteriormente vendido bajo el HP marca, ahora se ha fusionado con Micro Focusotro HP subsidiario.

los ArcSight Gerente de seguridad empresarial es otra herramienta SIEM inmensamente popular que existe desde hace más de quince años. La herramienta compila datos de registro de varias fuentes y realiza un análisis exhaustivo de datos, buscando signos de actividad maliciosa. Y para facilitar la identificación rápida de amenazas, la herramienta le permite ver los resultados del análisis en tiempo real.

En cuanto a las características, este producto no deja mucho que desear. Tiene una potente correlación de datos distribuidos en tiempo real, automatización de flujo de trabajo, orquestación de seguridad y contenido de seguridad impulsado por la comunidad. los ArcSight Gerente de seguridad empresarial también se integra con otros ArcSight productos como el ArcSight Data Platform y Event Broker o ArcSight Investigate. Este es otro producto de nivel empresarial que, como casi todas las herramientas SIEM de calidad, requerirá que se comunique con el equipo de ventas para obtener información detallada sobre precios.

4. Splunk Enterprise Security

Splunk Enterprise Security-o Splunk ES, como se le llama a menudo, es posiblemente uno de los sistemas SIEM más populares y es particularmente famoso por sus capacidades analíticas. La herramienta monitorea los datos de su sistema en tiempo real, buscando vulnerabilidades y signos de actividad anormal.

La respuesta de seguridad es otra de Splunk ES"Fuertes" y eso es importante cuando se trata de ataques DDoS. El sistema usa lo que Splunk llama al Marco de respuesta adaptativa (ARF) que se integra con equipos de más de 55 proveedores de seguridad. los ARF realiza una respuesta automatizada, acelerando las tareas manuales. Esto le permitirá ganar rápidamente la ventaja. Agregue a eso una interfaz de usuario simple y ordenada y tendrá una solución ganadora. Otras características interesantes incluyen el Notables función que muestra alertas personalizables por el usuario y la Investigador de activos para marcar actividades maliciosas y prevenir más problemas.

Splunk ES es un producto de grado empresarial y, como tal, viene con un precio de tamaño empresarial. Como suele ser el caso con los sistemas de nivel empresarial, no puede obtener información de precios de SplunkSitio web Deberá ponerse en contacto con el departamento de ventas para obtener un presupuesto. Pero a pesar de su precio, este es un gran producto y es posible que desee contactar Splunk y aproveche una prueba gratuita disponible.

5. McAfee Enterprise Security Manager

McAfee es otro nombre familiar en el campo de la seguridad de TI y probablemente no requiere presentación. Sin embargo, es mejor conocido por sus productos de protección contra virus. los McAfee Empresa Sseguridad METROenojado No es solo software. En realidad, es un dispositivo que puede obtener en forma virtual o física.

En términos de sus capacidades analíticas, muchos consideran el McAfee Enterprise Security Manager ser - estar Una de las mejores herramientas SIEM. El sistema recopila registros en una amplia gama de dispositivos. En cuanto a sus capacidades de normalización, también es de primera categoría. El motor de correlación compila fácilmente fuentes de datos dispares, lo que facilita la detección de eventos de seguridad. A medida que suceden, una característica importante cuando se trata de proteger contra eventos en tiempo real como los ataques DDoS.

Sin embargo, hay más en el McAfee solución que solo su Gerente de seguridad empresarial. Para obtener una solución SIEM verdaderamente completa, también necesita el Administrador de registro de empresa y Receptor de eventos. La buena noticia es que los tres productos se pueden empaquetar en un solo dispositivo, lo que facilita los procesos de adquisición y configuración. Para aquellos de ustedes que quieran probar el producto antes de comprarlo, hay disponible una versión de prueba gratuita.